[물리 계층과 데이터 링크 계층] VLAN(Virtual Local Area Network)

 

 

 서버와 스토리지를 비롯한 다양한 분야에서 가상화 기술은 지난 20년간 IT 트렌드에서 중요한 위치를 차지해 왔다. 네트워크 분야에서도 여러 가상화 기술이 도입되었으며, 스위치에서는 오랜 시간 동안 VLAN을 활용하여 네트워크 가상화를 구현해 왔다.

 

1. VLAN(Virtual Local Area Network)

 VLAN은 물리적 위치와 상관없이 네트워크를 논리적으로 분할하여 여러 개의 네트워크를 운영할 수 있게 해주는 기술이다. 최근에는 PC 외에도 전화기, 복합기, 스마트폰 등 다양한 단말이 네트워크에 연결되면서 네트워크 분할의 중요성이 더욱 강조되고 있다. 과도한 브로드캐스트로 인한 성능 저하 방지, 보안 향상을 위한 네트워크 차단, 서비스 특성에 따른 정책 적용 등을 목적으로 네트워크 분리가 필요하다.

 

 VLAN을 활용하여 하나의 장비에서 서로 다른 네트워크로 논리적으로 분할하게 되면, 유니캐스트뿐만 아니라 브로드캐스트 또한 VLAN 간 통신이 불가능해진다. VLAN 간 통신이 필요할 경우, 서로 다른 네트워크 간 통신이므로 3계층 장비가 요구된다.

 

 또한 VLAN을 통해 물리적 구성과 무관하게 네트워크를 분리할 수 있어 물리적으로 다른 위치에 있는 단말도 동일한 VLAN에 연결하여 같은 네트워크로 구성할 수 있다. 예를 들어, 같은 층 내에서 부서별로 네트워크를 분리하거나 일반 PC, IP 전화기, 무선 단말 등 서비스나 단말의 성격에 따라 네트워크를 분리할 수 있다. 이렇게 분리된 단말 간 통신은 3계층 장비를 통해 이루어진다.

 

2. VLAN의 종류와 특징

 VLAN 할당 방식에는 포트 기반 VLAN과 MAC 주소 기반 VLAN이 있다. VLAN 개념이 처음 도입되었을 당시에는 스위치가 고가의 장비였으며, 여러 허브를 연결해 관리하는 역할을 스위치가 수행했다. 따라서 스위치를 여러 네트워크로 논리적으로 분할하여 활용하는 것이 VLAN 기능의 주요 목적이었고, 이를 포트 기반 VLAN이라 부른다. 일반적으로 언급되는 대부분의 VLAN이 이 방식이며, 특정 스위치 포트에 VLAN을 할당하면 해당 포트에 연결된 단말은 그 VLAN에 속하게 된다.

 

 사용자들의 잦은 자리 이동으로 인해 MAC 주소 기반 VLAN이 개발되었다. 이 방식은 스위치의 고정 포트가 아닌 단말의 MAC 주소를 기준으로 VLAN을 할당한다. 단말이 연결되면 스위치가 해당 MAC 주소를 인식하고, 그에 따라 포트를 지정된 VLAN으로 자동으로 변경해 준다. 이러한 특성 덕분에 다이나믹 VLAN으로도 불리며, 단말에 따라 VLAN 정보가 변경될 수 있다.

 

 포트 기반 VLAN에서 VLAN 할당의 기준은 스위치의 포트이다. 예를 들어, Host A가 스위치의 1번 포트에 연결되면 VLAN 10에 속하고, 3번 포트에 연결되면 VLAN 30에 속하게 된다. 반면, MAC 주소 기반 VLAN에서는 VLAN 할당 기준이 Host의 MAC 주소가 된다. 따라서 Host A는 어떤 스위치 포트에 연결되더라도 동일한 VLAN 10에 할당된다.

 

3. VLAN 모드(Trunk/Access) 동작 방식

 포트 기반 VLAN에서는 스위치의 각 포트마다 사용할 VLAN을 지정한다. 이로 인해 한 대의 스위치에 연결되어 있더라도 서로 다른 VLAN으로 설정된 포트 간에는 통신이 불가능하다. VLAN이 다르면 별도의 독립된 스위치처럼 동작하기 때문에, VLAN 간의 통신을 위해서는 3계층 장비가 필요하다. 또한, VLAN으로 구분된 네트워크에서는 브로드캐스트 패킷인 ARP Request가 다른 VLAN으로 전달되지 않으므로 3계층 장비를 통해 통신해야 한다.

 

스위치 포트에 VLAN을 설정하여 물리적으로 스위치를 분리하는 것보다 장비를 효율적으로 사용할 수 있다. 여러 VLAN이 존재하는 상황에서 스위치 간의 VLAN 간 통신을 위해 VLAN 수만큼 포트를 연결해야 한다. VLAN으로 분할된 스위치는 물리적으로 서로 다른 스위치와 같이 취급된다.

 

예를 들어, 스위치에 3개의 VLAN이 구성된 경우 각 VLAN 간에 통신하려면 3개의 포트가 필요하다. 중·대규모 네트워크에서 VLAN별로 포트를 연결하면 많은 포트가 낭비될 수 있다.

 

 이 문제를 해결하는 것이 바로 VLAN 태그 기능이다. 태그 기능은 하나의 포트에 여러 개의 VLAN을 동시에 전송할 수 있게 해줍니다. 이러한 포트를 태그 포트(Tagged Port) 또는 트렁크 포트(Trunk Port)라 부르며, 이더넷 프레임 중간에 VLAN ID 필드를 삽입하여 VLAN 정보를 포함한 데이터를 전송한다. 태그 포트로 패킷을 보낼 때는 VLAN ID가 추가되고, 수신 측에서는 이 VLAN ID를 제거하여 해당 VLAN으로 데이터를 전달한다.

 

 태그 포트를 사용하면 VLAN별로 필요했던 여러 개의 포트를 하나의 포트로 통합하여 사용할 수 있어 포트 낭비 없이 더 유연한 네트워크 구성이 가능합니다. 태그 포트 기능의 도입으로 스위치의 MAC 주소 테이블에도 VLAN을 구분하는 필드가 추가되어, 각 VLAN에 독립적인 MAC 주소 테이블을 적용한 것처럼 동작하게 됩니다.

 

 일반적으로, 한 개의 VLAN에만 속하는 포트는 언태그 포트(Untagged Port) 또는 액세스 포트(Access Port)라고 부르며, 여러 VLAN의 통신을 가능하게 하는 포트는 태그 포트(Tagged Port) 또는 트렁크 포트(Trunk Port)라고 부른다. 태그 포트는 여러 VLAN을 하나의 물리적 포트로 전송할 때 사용되고, 언태그 포트는 하나의 VLAN에만 속한 경우에 사용된다. 따라서 일반적으로 여러 네트워크가 연결된 스위치 간에는 태그 포트를 사용하고, 하나의 네트워크에 속한 서버의 경우에는 언태그 포트를 설정한다.

 언태그 포트로 패킷이 들어올 경우, 같은 VLAN으로만 패킷을 전송하고, 태그 포트로 패킷이 들어올 경우, 태그를 벗겨내면서 태그된 VLAN 쪽으로 패킷을 전송한다.

 

 서버와 연결된 포트라고 하더라도, VMware의 ESXi와 같은 가상화 서버가 연결될 경우에는 여러 VLAN과 통신이 필요할 수 있다. 이 경우, 서버와 연결된 포트라 하더라도 언태그 포트가 아닌 태그 포트로 설정해야 한다. 태그 포트로 설정되었기 때문에 가상화 서버 측의 네트워크 인터페이스도 태그된 상태로 설정해야 통신이 원활해진다.

 

 가상화 서버 내부에는 가상 스위치가 존재하므로, 스위치 간 연결과 유사하게 이해할 수 있다.

 

4. VLAN 태그 방식의 표준화와 상호 호환성

IEEE 802.1Q 표준	VLAN 태깅에서 가장 많이 사용되는 표준으로, 이더넷 프레임에 VLAN 태그를 삽입해 다중 VLAN 통신을 지원함. 이를 통해 제조업체와 상관없이 호환성을 보장하는 VLAN 환경을 구성할 수 있음.
VLAN 태그 필드 구성	802.1Q 태그는 이더넷 프레임에 삽입되며, VLAN ID와 우선순위 설정 필드가 포함되어 VLAN 트래픽의 우선 순위를 설정하는 데 활용됨.

 

 

5. VLAN 트렁크 프로토콜(VTP)

VTP 역할	VTP는 VLAN 정보를 스위치 간에 동기화하여 네트워크 관리자의 수고를 덜어줌. 대규모 네트워크 환경에서 중앙에서 VLAN 구성을 변경할 수 있어 VLAN 관리를 용이하게 함.
VTP 모드와 네트워크 확장성	VTP 서버 모드, 클라이언트 모드, 투명 모드 등이 있으며, 이러한 모드를 활용해 네트워크의 규모에 따라 VLAN 확장성을 효과적으로 관리할 수 있음.

 

6. VLAN 보안 요소

VLAN 호핑 공격	공격자가 특정 방식으로 트래픽을 조작하여 다른 VLAN으로의 접근을 시도하는 VLAN 호핑 공격에 대한 설명을 추가할 수 있음. 이러한 공격을 방지하기 위해 DTP(Dynamic Trunking Protocol) 비활성화와 같은 보안 조치를 함께 언급하면 좋음
프라이빗 VLAN (Private VLAN)	대규모 데이터센터에서 VLAN 내부의 보안을 강화하기 위해 프라이빗 VLAN이 활용됨. 이는 기본 VLAN 내에서 논리적 서브 VLAN을 만들어 비인가 트래픽을 차단할 수 있음.

 

7. VLAN과 SDN의 결합

SDN 환경에서의 VLAN 활용

VLAN이 소프트웨어 정의 네트워킹(SDN)과 결합하여 더욱 유연하게 관리되고 있으며, SDN의 오버레이 네트워크와의 조합을 통해 복잡한 네트워크 토폴로지에서 효율적인 네트워크 분리를 지원함.

 

 

 

 

 VLAN 기술은 네트워크 자원을 효율적으로 관리하고, 보안과 성능 최적화를 위해 중요한 역할을 수행한다. VLAN을 활용하면 물리적 위치에 구애받지 않고 네트워크를 논리적으로 분리하여 운영할 수 있으며, 브로드캐스트 트래픽의 감소와 정책 적용의 유연성을 통해 복잡한 네트워크 환경에서도 효율적으로 대응할 수 있다. 특히, 가상화 서버와의 연동에서 태그 포트를 설정하여 다수의 VLAN과 통신이 가능하도록 지원함으로써, 점점 더 복잡해지는 IT 인프라 환경에서 보다 유연하고 확장성 있는 네트워크 구성이 가능해진다.

 

이처럼 VLAN 기술을 적절히 활용하면 효율적인 네트워크 자원 관리와 성능 최적화를 이루어낼 수 있으며, 변화하는 IT 환경에서도 안정적인 서비스 제공이 가능하다.